ワードプレス(WordPress)のセキュリティ設定


~ 14:05頃     このページと同じ概要説明
14:05: ~ 22:08頃 実際のセキュリティ設定実録
22:08頃 ~     補足:ユーザー名の変更方法

ワードプレス(WordPress)で専用Webサイト・ブログを構築したら最初にやるべきことは、最低限のセキュリティ設定です。

といっても難しいことをやる必要はありません。

簡単なルールを知って設定することで各段にセキュリティが高まり、安心・安全に失敗ゼロでWebサイト・ブログの運営を進めることができます。

得られる結果 あなたの専用Webサイト・ブログを安心・安全に失敗ゼロで運用できる
かかる時間 3分
費用 無料
設定要否 必須

■目次
・ハッキングは他人事ではない
・実際にハッキングされる原因は2つのみ
・今すぐできるセキュリティ対策
・当たり前のことが重要
・補足:ユーザ名の変更方法

■ハッキングは他人事ではない
パソコン、インターネットによって私たちの生活は便利になりました。

地球の裏側にいる人に一瞬でメールを送ったり、世界中のショッピングサイトから商品を購入できるようになりました。

そして、私たちがやっていくように、自分のWebサイト・ブログを作成して、お客様やファンを世界中から集めることができるようにもなりました。

これはインターネットというものが、全世界規模で相互につながったネットワークシステムであるからこそできることです。

ですがその一方で、インターネットは違法なことで利益を得ようとする人(このページでは「ハッカー」をこの意味で使います)にとっても非常に便利なツールになります。

例えばショッピングサイトでは、購入者の氏名や住所、メールアドレスだけでなく、クレジットカードなどの情報も保持しています。

ハッカーからしてみればこれはお宝のようなものです。

家にいながら全世界のショッピングサイトに攻撃を仕掛け、その中の1つでも攻略することができれば、手に入れた個人情報を販売したり、クレジットカードを不正に利用したりすることで大金を得ることができます。

このようなハッカーによるインターネット上での攻撃をサイバー攻撃、ハッキングと呼びます。

ハッキングのターゲットは企業だけでなく個人も含まれており、個人へのウイルスメールの送付や、個人のWebサイト・ブログの乗っ取りなど様々なハッキング行為が行われています。

こういったハッキング、サイバー攻撃はどれくらい発生しているか、想像できますか?

実はこういった攻撃によって「実際に被害が出た件数」は、個人がウイルスメールのURLをクリックしたようなものまで含めると年間で4億件に上ります。

しかもこれは攻撃が成功した件数であり、攻撃自体はその何百万倍、何千万倍も発生しているので、もはや想像すらできない数です。

どうでしょう。

思っていたよりもかなり多かったのではないでしょうか?

最近では日本でも大手の企業がサイバー攻撃によって情報流出する事件が目立ってきたので、少しは身近になったように感じていたかもしれませんが、ここまで多いとは想像していなかったのではないでしょうか?

ハッカーからすれば、ハッキングようの自動のプログラムを作成すれば、あとは放置しておくだけです。

かかるコストといえば電気代くらいですが、その一方で一回でもハッキングが成功すればお金が儲かるわけです。

そのため、今のところサイバー攻撃は衰えを見せません。

そして、ハッカーの標的は大手のショッピングサイトだけでなく、個人のサイトも対象です。

これは、ハッカーからすれば、どれだけのサイトをターゲットにしようが労力は一緒なので、とりあえず数打てば当たる戦法を仕掛けてくるためです。

もし私たちのサイトが攻撃されてハッカーに乗っ取られると、私たちのサイトにウイルスや迷惑メールを送信するプログラムを仕掛けられてしまい、私たちがハッカーの手伝いをする羽目になってしまいます。

また、世の中にはとりあえず手当たり次第に様々なサイトを攻撃して、データを破壊するのが目的の愉快犯も存在します。

なので、他人事ではなく、私たちも必ずセキュリティ設定をして、ハッカーの攻撃から私たちのWebサイト・ブログを守る必要があります。

と、ここまで少し怖い話をしてきましたが、これはセキュリティに対する意識を持っていただくためです。

実際には、やるべきことをやっていれば、心配する必要はありません。

なので、ここからの内容をしっかり実施してセキュリティ対策を万全にしておいてください。

■実際にハッキングされる原因は2つのみ
ワードプレスを利用して作成したWebサイト・ブログがハッキングされる原因は大きく以下の2つしかありません。

1.ユーザ名、パスワードを見破られる
2.ワードプレスの脆弱性を利用される

1.ユーザ名、パスワードを見破られる
ハッカーがよく使う攻撃方法に、管理画面にログインするためのユーザ名とパスワードの組み合わせをとにかくランダムに総当たりで試す「ブルートフォースアタック」という手法があります。

なんだかかっこいい響きですが、やっていることはただの力技です^^。

ですが、このような作業はコンピュータの得意技ですから、何百万、何千万のランダムな組み合わせでのログインを簡単に試すことができます。

万が一その中の1つが正解だった場合、ワードプレスの管理画面にログインされます。

管理画面では文字通り、私たちのWebサイト・ブログに関する管理を行うことができますから、ハッカーのやりたい放題になってしまいます。

このサイトでユーザ名とパスワード、特にパスワードに関しては「強力なものを設定してください」としつこく書いているのはこのためです。

ユーザ名とパスワードが推測されにくく、強力(後で説明します)なものであるほど、ランダムな総当たり攻撃、力業では手も足もでなくなるので、ハッカーはなすすべがなくなるわけです。

2.ワードプレスの脆弱性を利用される
脆弱性(ぜいじゃくせい)とはプログラムの設計ミスやバグによって発生するセキュリティ上の欠陥のことを言います。

少しお堅い用語なので「弱点」とイメージしていただいても構いません。

どんなに強い格闘家も、人体の構造的に鍛えようがない弱点、例えば目に指を入れられてはどうしようもありません。

このように、プログラムにも構造的に穴(急所、欠陥、弱点)となっている個所が存在することがあります。

例えば、本来ワードプレスの管理画面にログインするためには、ログイン画面で正しいユーザ名とパスワードを入力する必要があります。

ですが、プログラムにバグがあり、ログイン画面でユーザ名を「login」、パスワードを「magic」と入力すると、なぜか正常なログインとして処理されて、正しいユーザ名、パスワードでないのにログインできてしまう。

さすがにここまでひどいものは今はありませんが、こういったものが脆弱性です。

最近のプログラムはどんどん複雑化し、多くの人が同時に開発を進めているため、どうしてもバグや設計上の穴が発生し、ハッカーはそこを突いて攻撃を仕掛けてきます。

特にワードプレスの開発は、どのようなプログラムで構成されているかを誰でも知ることができ、開発に参加できる「オープンソース」という仕組みで運営されています。

これはハッカーからすれば、プログラムを分析することで脆弱性、つまり弱点を見つけやすいということです。

ハッカーはワードプレスのプログラムを分析し、「おお!loginとmagicと入力すればログインできるぞ!」というように脆弱性を見つけるとそれを利用して攻撃を仕掛けるわけです。

■今すぐできるセキュリティ対策
ハッキングされてしまう原因が分かれば対策もわかります。

1.ユーザ名、パスワードを守る
2.脆弱性対策を行う

1.ユーザ名、パスワードを守る
何度も繰り返しになりますが、ユーザ名とパスワードは推測されにくく強力なものである必要があります。

ワードプレスに限らず、インターネット上のセキュリティの95%はこれで決定されるといっても過言ではないほど重要です。

まず、ユーザ名に関してですが、推測されやすいもの、一般的によく使われるものは使わないようにします。

ハッカーは攻撃の際、ユーザ名に関してはよく使われるものを設定し、パスワードをランダムに総当たりすることが多いです。

といっても何が推測されやすいのか、一般的なのかピンとこないと思いますので、以下のものを使わないようにするということで大丈夫です。

admin
test
info
demo
root
company
web
webmaster
postmaster
anonymous

ワードプレスに限らず、これらのユーザ名を使っている場合は、今すぐにユーザ名を変更する必要があります。

ただ、ワードプレスでは直接ユーザ名の変更ができないため、新しく管理ユーザを作成して、その後元のユーザを削除するという方法しかできません。

その方法はこのページの最後で解説します。

次にパスワードに関してはアルファベットの大文字/小文字、数字、記号の4種類をすべて使用し、最低でも8文字以上で設定してください。

記号は「!」、「”」、「#」などキーボードの「Shift」キーを押しながら数字のキーを押すことで入力できます。

少し計算をしてみましょう。

アルファベットは26文字ありますが、大文字と小文字は区別されるので52文字です。

そして数字は10種類、記号は9種類を使うとします。

すると合計で71種類の文字を使うことになります。

これで8文字だとすると理屈上の組み合わせは71の8乗=約600兆個です。

ハッカーからするとこれをユーザ名毎に試す必要があるわけですから、破ることはほぼ不可能です。

なので、もしワードプレスをインストールする際に強力なパスワードを設定していなかった場合は、今すぐ変更しましょう。

管理画面の「ユーザー」から「あなたのプロフィール」をクリック。

画面下の方まで行き、「パスワードを生成する」をクリック。

出てくるパスワードをそのまま使ってもいいですが、おそらく相当ランダムなパスワードになっているため、必ずメモしておきましょう。

自分で設定する場合は、上で説明した通り強力なパスワードを入力し「プロフィールを更新」をクリック。

理想的には、パスワードは月に1回でもいいので変更するのがおすすめです。

ユーザー名を一般的に使われるもの以外にし、パスワードを強力でかつ月に1回程度変更していれば、破られる可能性はほぼなくなります。

2.脆弱性対策を行う
ワードプレスやプラグインの脆弱性は日々発見されます。

ワードプレスやプラグインの開発者たちは発見された脆弱性への対策を施し、プログラムの更新・バージョンアップを行います。

なので、脆弱性対策として私たちがやるべきことは以下の2つです。

2-1.更新を必ず反映する
2-2.必要最小限のプラグインに絞る

2-1.更新を必ず反映する
ワードプレス自体や、現在使用しているプラグイン、テーマなどに更新があると、以下の画像のように管理画面の更新のところにマークが出てすぐにわかるようになっています。

このように更新があることを見つけた場合は、すぐに「更新」をクリックして内容を確認しましょう。

そして、例えばワードプレス自体に更新があった場合は、以下の画像のように「今すぐ更新」ボタンが出てきますので、文字通り今すぐ更新しましょう。

他にプラグインやテーマに更新があった場合にも、以下のように更新できるものの一覧が表示されるので、「すべて選択」して一気に更新しましょう。

とにかく更新のマークが出ていたらすぐに更新する。

これが大切です。

2-2.必要最小限のプラグインに絞る
あなたがまだWebサイト・ブログの運営を始めたばかりであれば、プラグインはそれほどインストールしていないと思いますが、今後運営していく中で様々な機能を追加したくなった際にプラグインをインストールすることになると思います。

ここで知っておく必要があるのは、このプラグインの更新は各プラグインの開発者にゆだねられているということです。

ワードプレス自体の脆弱性への対策、すなわちプログラムの更新・バージョンアップは、ワードプレスが運営されている限り基本的に止まることはなく安心です。

一方で、プラグインの脆弱性に対する更新・バージョンアップは、それぞれのプラグインを開発した人たちにゆだねられているため、プラグインによっては脆弱性が発見されても放置されていることもあります。

なので、プラグインに関しては「必要最小限のものだけをインストールすること」、「定期的に見直して更新されていなかったり、必要ないものは削除する」ということが重要です。

ワードプレスに様々な便利機能を追加するプラグインはそれこそ無数にあります。

ですが、私たちはトップ5%の重要な枠組みを活用して最大の結果を達成する集団です。

プラグインも例外ではなく、必要なものはごく一部です。

実際私が使っているのも、「自動返信機能付き問い合わせフォーム:Contact Form 7」、「スパム対策:Akismet Anti-Spam」、「SEO対策:All In One SEO Pack」、「クリックで画像を拡大:Simple Lightbox」、「バックアップ:BackWPup」の5つだけです。

もちろん何か特殊な目的があってこれ以外のプラグインを使うこともあるかとは思いますが、本当に役に立つものは限られています。

そして役に立つものはシンプルな機能のものが多いので、脆弱性が発見されることも少なく、多くの人が使っていて人気なので開発者も気合を入れて更新を続けていることが多いです。

なので、まずプラグインは本当に必要なものだけに絞ること。

そして、定期的に見直して、使わなくなったものはすぐに削除すること。

2-1で紹介した更新はもちろんですが、プラグインに関しては合わせてこの2つが脆弱性対策として非常に重要です。

管理画面「プラグイン」の「インストール済みプラグイン」をクリック。

出てきた一覧の中で使用していないものを「削除」。

確認。

これで削除することができます。

以上、「更新があった際はすぐに反映する」、「プラグインは必要最小限のものに絞る」、「不要なプラグインを定期的に削除する」という3つを実施していれば、脆弱性を攻撃されることもほとんどありません。

■当たり前のことが重要
ワードプレスのセキュリティ設定として
1.ユーザ名、パスワードを守る
2.脆弱性対策を行う」
の2つを解説しました。

セキュリティ設定と聞いて相当難しいことを想像していたかもしれませんが、実際問題やることはここまでで説明した通りです。

少し拍子抜けしたかもしれませんが、世の中の多くの人はこういった基本的なことをおろそかにしているため、私たちはこれだけやっておけば安心・安全にWebサイト・ブログを運営していくことができます。

3分ほどで終わりますから、必ず最初にやっておきましょう。

また、今回紹介したユーザ名、パスワードや脆弱性といった話は、ワードプレスによるWebサイト・ブログの運営だけでなく、Gmailやショッピングサイトのアカウント管理にも共通して大事なことです。

こういった基本的なことを守っていればインターネットは安全に使いこなすことができます。

是非常に意識するようにしてください。


~ 14:05頃     このページと同じ概要説明
14:05: ~ 22:08頃 実際のセキュリティ設定実録
22:08頃 ~     補足:ユーザー名の変更方法

■補足:ユーザ名の変更方法
今すでに推測されやすい、一般的な「admin」といったユーザ名でワードプレスを管理している場合は今すぐに変更する必要がありますが、上で述べたようにワードプレスではユーザ名の変更はできません。

そのため、ユーザ名の変更ではなく、新しい「管理者」ユーザを作成して、そのユーザでログインし、元の危険なユーザを削除するというステップを踏む必要があります。

それぞれで注意点がありますので、以下の説明をよく確認しながら注意深く進めていってください。

今使っている危険なユーザ名を「admin」(以下で使用する画像や動画内では「homepagesakusei」に該当)、新しく作るユーザを「yamada_taro」(以下で使用する画像や動画内では「homepagesakusei2」に該当)として解説を進めます。

手順を細かく分けると以下の4ステップです。

1.adminで使っているメールアドレスを変更
2.yamada_taroを作成
3.adminをログアウトしyamada_taroで再ログイン
4.adminを削除

1.adminで使っているメールアドレスを変更
「yamada_taro」を新しく作りたいわけですが、新しくユーザを作成する際には既存のユーザが使っているメールアドレスを割り当てることができません。

そのため、まずは削除したいアカウントである「admin」でメールアドレスを別のものに変更しておきます。

「ユーザー」⇒「あなたのプロフィール」をクリック。

別のメールアドレスを入力して「プロフィールを更新」をクリック。

これでメールアドレスが変更されます。

どうせ削除されるユーザのメールアドレスですから存在しないメールアドレスでも大丈夫ですが、存在する場合メールアドレスにアドレス変更の連絡が送信されてしまいます。

どうしても別のメールアドレスが思い浮かばない場合は、動画内で出ている私のアドレスを一時的に設定すればよいでしょう。

2.yamada_taroを作成
次に新しいユーザを管理者権限で作成します。

「ユーザー」⇒「新規追加」をクリック。

出てくる画面でまず、ユーザ名「yamada_taro」とメールアドレスを入力します。

次にパスワードを設定しますが、当然強力なパスワードを設定してください。

新しいユーザ名「yamada_taro」と合わせて必ずメモしておきましょう。

そして最後に、必ず「権限グループ」を「管理者」に変更します。

権限グループというのは、新しく作成するユーザがあなたのWebサイト・ブログの管理をどこまで行えるかを決定するものです。

例えば「投稿者」という権限グループであれば、サイトの設定やユーザの追加などはできませんが、記事の投稿はできるといった具合です。

今回は今ある「admin」という管理者を削除して新しく管理者を作るわけですから、必ず管理者として作成してください。

以上を確認してから「新規ユーザーを追加」をクリック。

これで「yamada_taro」ユーザーが追加されます。

3.adminをログアウトしyamada_taroで再ログイン
新しいユーザの作成が完了したら、今ログインしている「admin」をログアウトします。

そして、新しいユーザー「yamada_taro」で再ログインします。

4.adminを削除
最後に危険なユーザーである「admin」を削除すれば完了です。

「ユーザー」⇒「ユーザー一覧」をクリック。

「admin」の削除をクリック。

出てくる確認画面では必ず「すべてのコンテンツを以下のユーザーのものにする」を選択して、新しく作ったユーザになっていることを確認してから「削除を実行」をクリック。

ここの選択肢を間違えると、削除するユーザーで作成した記事がすべて消えてしまいますから、念には念を入れて絶対に間違い・ミスの内容に実行してください。

以上でユーザーの新規追加と削除による疑似的なユーザ名の変更は完了です。

それでは、感じたこと、学んだこと、やってみようと思ったこと、質問などをご連絡ください。
※コメントではないので公開されません。ご安心ください。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です